CWPP(Cloud Workload Protection Platform,云工作负载保护平台)
定义
CWPP 由 Gartner 在 2017 年提出,覆盖云中所有形态的工作负载 — 虚拟机(VM)、容器(Container)、Kubernetes Pod、Serverless 函数 — 提供运行时入侵检测、漏洞扫描、合规审计与微分段。
与 CSPM 的区别
- CSPM 管"配置层"(资源是否暴露、权限是否过宽)
- CWPP 管"运行层"(虚拟机/容器内的进程是否异常、有无入侵)
两者后被 CNAPP 统一整合。
关键能力
- 运行时保护(Runtime Protection)— 进程行为监控、异常告警
- 漏洞扫描 — 镜像 CVE 扫描、SBOM 生成
- 微分段 — 容器到容器、Pod 到 Pod 的网络隔离
- 合规审计 — PCI / HIPAA / 等保
- Serverless 安全 — Lambda / Cloud Functions 行为分析
关键玩家
- Palo Alto Networks — Prisma Cloud CWPP(Twistlock 收购后整合)
- CrowdStrike — Falcon Cloud Workload Protection
- Wiz — CNAPP 平台内置 CWPP
- SentinelOne — Singularity Cloud Workload Security
- Aqua Security / Sysdig — 容器安全独立厂商
- 中国:深信服 / 安恒信息 / 阿里云(云安全中心)
在 AI 基础设施安全中的位置
AI 训练任务往往跑在 GPU 容器集群中(如 K8s + NVIDIA GPU Operator),CWPP 保护这些容器内的训练进程不被恶意软件感染或数据被外泄(据投行内部研究)。
关联
↑ up::CNAPP ∈ belongs_to::3-08-AI基础设施安全